Zum Hauptinhalt springen

Ereignisprotokoll-Monitor

Alert when specific Windows Event IDs appear a defined number of times within a set time window.

Einführung

Überwachen Sie das Windows-Ereignisprotokoll auf bestimmte Ereignis-IDs und erhalten Sie eine Warnung, wenn diese zu häufig auftreten. Der Ereignisprotokoll-Monitor wird ausgelöst, wenn ein übereinstimmendes Ereignis eine definierte Anzahl von Malen innerhalb des gewählten Zeitfensters auftritt – nützlich zum Erkennen von Brute-Force-Anmeldeversuchen, Anwendungsabstürzen, Festplattenfehlern und anderen Mustern, die erst in der Häufung relevant werden.

ℹ️ HINWEIS: Der Ereignisprotokoll-Monitor unterstützt derzeit nur Windows. Unterstützung für macOS und Linux folgt in einem zukünftigen Update.

Ereignisprotokoll-Monitor

Level überwacht das Windows-Ereignisprotokoll auf den abgedeckten Geräten auf alle von Ihnen angegebenen Ereignis-IDs. Wenn die übereinstimmenden Ereignisse Ihre Vorkommnisse Anzahl innerhalb des Dauer Fenster auftritt, wird ein Alarm ausgelöst.

Die Kombination aus Vorkommnissen und Dauer macht dies nützlich. Ereignis-ID 4625 (fehlgeschlagene Anmeldung), die einmal erscheint, ist nicht auffällig. Zehnmal innerhalb einer Minute ist ein Brute-Force-Versuch, der sofortiges Handeln erfordert.

Konfigurieren des Ereignisprotokoll-Monitors

Öffnen Sie die Ziel-Überwachungsrichtlinie und fügen Sie dann einen Ereignisprotokoll-Monitor hinzu oder bearbeiten Sie ihn. Der Monitor bearbeiten Bereich öffnet sich auf der rechten Seite.

Name und Typ

  1. Geben Sie einen Namen in das Name Feld. Geben Sie die Ereignis-ID und deren Bedeutung an – „Fehlgeschlagene Anmeldeversuche (4625)" ist in einer Alarmliste sofort lesbar.

  2. Setzen Sie Typ auf Ereignisprotokoll.

Schweregrad

Setzen Sie Schweregrad basierend darauf, was die Ereignis-IDs im jeweiligen Kontext darstellen:

  • Information

  • Warnung

  • Kritisch

  • Notfall

Ereignis-IDs

Geben Sie eine oder mehrere Windows-Ereignis-IDs ein, die überwacht werden sollen. Geben Sie eine ID ein und drücken Sie Tab oder fügen Sie ein Komma hinzu, um sie als Tag hinzuzufügen, und geben Sie dann weitere ein.

Event IDs

💡 TIPP: Sie können mehrere verwandte Ereignis-IDs in einem einzigen Monitor überwachen. Gruppieren Sie beispielsweise alle Ereignis-IDs für fehlgeschlagene Authentifizierungen (4625, 4771, 4776) in einem Monitor, anstatt separate Monitore für jede einzelne zu erstellen.

Protokollname

Geben Sie den Namen des zu überwachenden Windows-Ereignisprotokolls ein. Das Feld unterscheidet nicht zwischen Groß- und Kleinschreibung. Häufige Werte:

  • Security — Sicherheits- und Anmeldeereignisse

  • System — Ereignisse auf Betriebssystemebene, Hardware, Treiber

  • Application — von Anwendungen generierte Ereignisse

Log Name

Quelle

Quelle ist optional. Geben Sie einen Quellnamen ein, um den Monitor auf Ereignisse einer bestimmten Anwendung oder Komponente innerhalb des Protokolls einzuschränken. Lassen Sie das Feld leer, um die Ereignis-IDs über alle Quellen in diesem Protokoll abzugleichen.

Source

Ebenen

Wählen Sie eine oder mehrere Ereignisprotokoll-Ebenen aus, die übereinstimmen sollen. Nur Ereignisse auf den ausgewählten Ebenen werden auf Ihren Vorkommnisschwellenwert angerechnet:

  • Information

  • Warnung

  • Fehler

  • Kritisch

  • Ausführlich

Klicken Sie auf die Dropdown-Liste, um Ebenen hinzuzufügen. Klicken Sie auf × neben einem Ebenen-Chip, um ihn zu entfernen. Klicken Sie auf das × auf der rechten Seite des Felds, um alle Auswahlen zu löschen.

Levels

ℹ️ HINWEIS: Windows-Ereignisprotokoll-Ebenen und Level-Alarmschweregrade sind separate Konzepte. Das Ebenen Feld filtert, welche Ereignisprotokolleinträge gezählt werden; Schweregrad legt die Priorität des von Level erstellten Alarms fest.

Vorkommnisse

Vorkommnisse legt fest, wie viele übereinstimmende Ereignisse innerhalb des Dauerfensters erkannt werden müssen, bevor ein Alarm ausgelöst wird. Verwenden Sie die Aufwärts-/Abwärtspfeile, um den Wert festzulegen.

Occurrences

Dauer

Dauer legt das Zeitfenster für die Zählung der Vorkommnisse fest. Das Einheiten-Dropdown ermöglicht die Auswahl von Minuten oder Stunden; der Schieberegler und die Aufwärts-/Abwärtspfeile legen den Wert innerhalb dieser Einheit fest.

Duration

💡 TIPP: Passen Sie das Dauerfenster an das Bedrohungsmodell an. Fehlgeschlagene Anmeldungen lassen sich am besten über ein kurzes Fenster überwachen (z. B. 10 Fehler in 30 Minuten), um aktive Angriffe zu erkennen. Anwendungsabstürze können ein breiteres Fenster verwenden (z. B. 5 Abstürze in 1 Stunde), um Alarme bei Einzelvorfällen zu vermeiden.

Automatische Auflösung

Alarm automatisch auflösen, wenn er nicht mehr zutrifft ist für Ereignisprotokoll-Monitore standardmäßig deaktiviert. Ereignisbasierte Alarme stellen etwas dar, das bereits passiert ist – sie haben keinen „aktuell überschrittenen" Zustand, der automatisch gelöscht werden kann. Daher bedeutet das Deaktivieren der automatischen Auflösung, dass Alarme bestehen bleiben, bis ein Techniker sie überprüft und auflöst.

Auto Resolve

Behebung

Fügen Sie eine oder mehrere Automatisierungen hinzu, die ausgeführt werden, wenn dieser Monitor ausgelöst wird – ein Gerät isolieren, ein Benutzerkonto zurücksetzen, ein Ticket erstellen oder Ihr Team benachrichtigen.

  1. Klicken Sie in das Behebung Feld und wählen Sie eine Automatisierung aus.

  2. Um weitere hinzuzufügen, klicken Sie auf + Weitere Behebung hinzufügen.

  3. Um eine zu entfernen, klicken Sie auf das × daneben.

ℹ️ HINWEIS: Behebungen werden ausgeführt, wenn der Alarm erstellt wird, nicht wenn er aufgelöst wird.

Benachrichtigungen

  • Benachrichtigungen bei Alarmerstellung senden — Richtlinienempfänger erhalten eine E-Mail, wenn der Alarm ausgelöst wird

  • Benachrichtigungen bei Alarmauflösung senden — Richtlinienempfänger erhalten eine E-Mail, wenn der Alarm aufgelöst wird

Empfänger werden auf Ebene der Überwachungsrichtlinie verwaltet, im Empfänger Abschnitt.

Notifications

Monitor speichern

Klicken Sie auf Monitor aktualisieren zum Speichern der Änderungen, oder Monitor hinzufügen beim Hinzufügen eines neuen.

FAQ

  • Wer kann Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die entsprechende Überwachungsrichtlinie. Berechtigungseinstellungen werden verwaltet in Workspace → Permissions.

  • Wo finde ich Ereignis-IDs für die Ereignisse, die ich überwachen möchte? Die Windows-Ereignisanzeige ist der schnellste Weg – suchen Sie ein Ereignis, das Sie überwachen möchten, öffnen Sie dessen Eigenschaften, und die Ereignis-ID ist dort aufgeführt. Microsofts Dokumentation und Sicherheitsreferenzen wie die Windows Security Log Encyclopedia sind ebenfalls nützlich für häufige Sicherheitsereignis-IDs.

  • Kann ich dieselbe Ereignis-ID mit unterschiedlichen Vorkommnisschwellenwerten überwachen? Ja – erstellen Sie separate Monitore für jeden Schwellenwert. Zum Beispiel einen Monitor für 3 fehlgeschlagene Anmeldungen in 1 Stunde (Warnung) und einen weiteren für 10 in 1 Minute (Kritisch).

  • Funktioniert der Ereignisprotokoll-Monitor unter macOS oder Linux? Nein – das Windows-Ereignisprotokoll ist ein ausschließlich auf Windows verfügbares Feature. Für protokollbasierte Überwachung unter macOS oder Linux verwenden Sie einen Script-Monitor, der Systemprotokolle direkt liest.

  • Was passiert mit offenen Ereignisprotokoll-Alarmen, wenn ich den Monitor lösche? Bestehende Alarme bleiben bestehen. Das Löschen eines Monitors schließt keine bereits erstellten Alarme – lösen Sie diese manuell auf.

Verwandte Artikel
Speicherauslastungs-Monitor
Prozess-Monitor
Monitor für fehlgeschlagene Anmeldungen
Benutzer-Monitor
Betriebszeit-Monitor
Hat dies deine Frage beantwortet?